GitHub augmente les récompenses de son programme bug bounty

GitHub

Quelques jours seulement après que Google ait annoncé avoir distribué plus de 15 millions de dollars via son Vulnerability Reward Program, voilà qu’un autre programme de bug bounty fait parler de lui. En effet, GitHub a décidé de revoir à la hausse les récompenses promises aux chasseurs de bugs en cas de découverte…

Le programme de bug bounty GitHub s’étend à de nouveaux services

Alors que GitHub propose depuis quelque temps déjà un programme de bug bounty, voilà que ce dernier connaît quelques évolutions en ce début d’année 2019.

En effet, le site de partage de code a choisi d’étendre son programme à de nouveaux services qu’il propose habituellement. Eh oui, parce qu’il souhaite que la recherche de failles et bugs aille au-delà de ce qui se faisait jusqu’à aujourd’hui, c’est désormais dans tous les services hébergés sur GitHub.com que ceux qui participent au programme de bug bounty pourront effectuer leurs recherches.

Cela signifie donc que le programme de bug bounty est donc désormais valable pour GitHub Éducation, Learning Lab, Jobs, Enterprise Cloud ainsi que pour l’application Desktop.

Mais l’extension va encore plus loin puisque les services hébergés sous les noms de domaine githubapp.com et gihub.net sont aussi concernés.

Les chasseurs de bugs désormais mieux récompensés…

Parce que GitHub entend réellement optimiser la sécurité de sa plateforme, il a décidé d’augmenter les bonus attribués aux développeurs découvrant des vulnérabilités.

Ainsi, si la découverte des failles les moins importantes permet aux chasseurs de bugs de remporter de 600 à 2000 dollars, l’échelle des bonus grimpe ensuite rapidement. La découverte d’une faille « moyennement » dangereuse permettra à un développeur d’empocher de 4000 à 10 000 dollars. La découverte d’une faille critique permettait jusque-là d’obtenir jusqu’à 20 000 dollars mais GitHub a décidé de remonter ce plafond à 30 000 dollars, conscient que mettre la main sur une faille « critique » était plutôt complexe.

… et mieux protégés

Alors que GitHub veille à ce que les chasseurs de bugs agissent « de manière responsable » pour faire part de leurs découvertes, l’entreprise a constaté que certains redoutaient les poursuites dans le cas où, de bonne foi, ils iraient au-delà des règles définies pour le programme de bug bounty.

Aussi, le site de partage de code a tenu bon de faire quelques précisions : « Pour encourager la recherche et la révélation responsable de vulnérabilités de sécurité, nous n’engagerons pas d’action civile ou pénale, ni n’informerons les autorités judiciaires en cas de violations accidentelles ou de bonne foi de ces règles ». Un tiers, en revanche, pourra initier des poursuites en justice s’il se sent lésé.

Il n’empêche que ces évolutions assurent une meilleure protection aux chasseurs de bugs. Là est finalement l’essentiel !

No votes yet.
Please wait...

2 Trackbacks & Pingbacks

  1. GitHub, Gitlab et BitBucket : des pirates rançonnent des utilisateurs
  2. La messagerie Tchap a déjà droit à son bug bounty

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.